Novedades

• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 22/11/2024

• ACTUALIZACIÓN: 22/11/2024

• RESUMEN: Permite a atacantes remotos eludir la protección "Mark-of-the-Web" en WinZip, manipulando archivos comprimidos. Los archivos extraídos pierden esta marca, lo que puede ser aprovechado para ejecutar código arbitrario en el contexto del usuario actual.

• PRODUCTO AFECTADO: WinZip (versiones afectadas no especificadas)

• CAUSAS: Manejo incorrecto de archivos comprimidos con la marca "Mark-of-the-Web".

• CONSECUENCIAS: Ejecución de código arbitrario en el contexto del usuario, comprometiendo el sistema afectado.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Aplicar parches de seguridad recomendados por el proveedor o actualizar a una versión corregida de WinZip.

• REFERENCIAS:


- Publicación en página oficial.

• GRAVEDAD: 9.3

• CVES RELACIONADOS: CVE-2024-9474

• FECHA DIVULGACIÓN: 08/11/2024

• ACTUALIZACIÓN: 18/11/2024

• RESUMEN: Vulnerabilidad que permite a un atacante remoto no autenticado acceder como administrador a dispositivos Palo Alto Networks que ejecutan PAN-OS mediante su interfaz web de gestión.

• PRODUCTO AFECTADO: PAN-OS 10.2, 11.0, 11.1, 11.2

• CAUSAS: Falla en la autenticación de la interfaz de gestión.

• CONSECUENCIAS: Un atacante puede obtener privilegios administrativos, comprometiendo el dispositivo por completo.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Aplicar los parches proporcionados por Palo Alto Networks. Limitar el acceso público a la interfaz de gestión según las guías de mejores prácticas del fabricante.

• REFERENCIAS:


- Publicación en página oficial.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 21/11/2024

• ACTUALIZACIÓN: 21/11/2024

• RESUMEN: Esta vulnerabilidad permite la ejecución de código arbitrario debido a un defecto en JavaScriptCore en productos Apple, lo que podría comprometer los sistemas.

• PRODUCTO AFECTADO: macOS Sequoia, iOS, iPadOS, Safari, visionOS

• CAUSAS: Defecto en la gestión de contenido web malicioso.

• CONSECUENCIAS: Un atacante podría ejecutar código remotamente, comprometiendo la seguridad del dispositivo afectado.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Actualizar a las últimas versiones de macOS, iOS, iPadOS y Safari, según las recomendaciones de Apple.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.

• GRAVEDAD: 8.7

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 12/11/2024

• ACTUALIZACIÓN: 13/11/2024

• RESUMEN: Vulnerabilidad en Laravel debido a una incorrecta manipulación de cadenas de consulta (query strings), que afecta el entorno durante el procesamiento de solicitudes.

• PRODUCTO AFECTADO: Laravel (versiones 7.0.0 hasta 7.30.7, 8.0.0 hasta 8.83.28, 9.0.0 hasta 9.52.17, 10.0.0 hasta 10.48.23, 11.0.0 hasta 11.31.0)

• CAUSAS: Uso de manipulación de consultas.

• CONSECUENCIAS: Permite a los atacantes modificar el comportamiento de la aplicación, comprometiendo la seguridad del servidor.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Actualizar a Laravel 6.20.45, 7.30.7, 8.83.28, 9.52.17, 10.48.23, o 11.31.0, que corrigen esta vulnerabilidad.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.